Todos os posts tagados deface

Muitos responsáveis por sites portugueses e brasileiros ignoram alertas que o site está desfigurado (defaced) ou a propagar malware. Isto é uma situação que tenho reparado nestes últimos anos.
Por vezes simplesmente repõem ou colocam novamente a página original e esquecem-se de analisar e corrigir a vulnerabilidade que originou o deface. Alguns por pouco conhecimento técnico, outros por puro comodismo.
De fato, maioria dos defacers apenas querem aumentar o seu rank em tabelas ou propagar mensagens políticas.
Mas esta situação está a mudar… para pior.

Alguns defacers de topo (presentes no TOP 20 do ranking do Zone-H.org), estão a começar a colocar backdoors no site. Adicionam exploit kits para infetar utilizadores e roubar informação confidencial.
Após monitorizar algumas contas Twitter e canais de conversação no IRC destes defacers foi possível concluir que, estes grupos trocam acessos de servidores e, dependendo da vítima, vendem informação.

Entre os alvos favoritos, encontram-se diversos sites governamentais e outros de grande tráfego.

Outros grupos de utilizadores maliciosos preferem seguir listas de mirroring de defaces, não para re-deface mas sim para colocar malware. Escolhem principalmente sites Joomla 1.5 vulneráveis e fazem o upload de shells. Alguns ainda tentam correr exploits locais para conseguir obter o acesso root ou admin dos servidores.

Um dos utilizadores do WebSegura.net teve recentemente o seu site comprometido e requisitou a minha colaboração para averiguar qual foi a falha que permitiu a entrada dos defacers. No public_html foi possível encontrar diversos ficheiros index com defaces de grupos diferentes. Ou seja, foi alvo de deface por diversas vezes.
Numa breve análise nos logs, e após verificação de um scan automático a componentes vulneráveis do Joomla, foi possível verificar que a vulnerabilidade estava presente num componente nativo do Joomla 1.5! que permitia o upload de ficheiros remotamente. Trata-se de uma falha pública e com exploit disponível para o público em geral.
Este ataque permite aos utilizadores maliciosos fazer o upload de um PHP shell e explorar a conta local no servidor alheio.

O backdoor é colocado em diversos locais. No COPYRIGHT.PHP (porque é um ficheiro que pode passar por despercebido porque faz parte dos Joomla) e nos ficheiros index.php|html.
Alguns dos backdoors encontrados foram:

• Web Shell By Black-ID ,based On Php,Ajax Posts,Css3 (que após descodificação fica assim)
• WeBaCoo (um backdoor que tem uma baixa taxa de detecção por parte dos antivirus, NIDS, IDS, WAF, etc.)

Em algumas referências nas redes sociais é possível também concluir que muitos defacers apoiam causas como os Anonymous e Wikileaks, e fornecem alguma informação comprometida para essas entidades. Como referi acima, a criação de botnets também permite disponibilizar armas para lançar ataques DDoS - um dos ataques típicos dos Anonymous.

O que de fato parece ser um inofensivo deface, pode ser o inicio de um grande ataque que pode infectar milhões de utilizadores.

É uma prioridade, em caso de deface de site ou site comprometido, analisar exaustivamente a segurança do mesmo. Imaginem a informação confidencial em mãos erradas…